Tento článok je súčasťou Príručky o digitálnej bezpečnosti pre učiteľov 1. a 2. stupňa základných škôl.
Odporúčame používať aplikáciu, ktorá dokáže používateľovi uložiť celé zoznamy hesiel a takýto zoznam chráni nielen ďalším heslom, ale aj šifrovaním. Takáto aplikácia sa nazýva manažér hesiel (password manager v angličtine).
Pri ich výbere si treba dať pozor na podvody a hľadať nezávisle overené značky, ktoré majú dobrú povesť a overenú bezpečnosť – príkladmi sú Sticky Password, KeePass či LastPass. Niektoré operačné systémy majú password manažér už v sebe zabudovaný – Keychain na MacOS.
Čím môže používateľ nahradiť heslo?
Čiastočné náhrady hesiel dnes predstavujú čítačky odtlačkov prstov či sken tváre. Aj tie však pre prípad, že odtlačok ani tvár nefunguje, využívajú ako zálohu číselný PIN kód.
Vo všeobecnosti sa heslá zabezpečujú pridaním ďalšieho overenia/kroku, ktorý má zaručiť, že heslo zadala správna osoba. Ide o takzvanú dvojfaktorovú alebo viacfaktorovú autentifikáciu.
Táto forma overenia môže prebiehať viacerými spôsobmi:
- Využitím inej komunikačnej cesty – napr. zaslaním overujúcej SMS na mobil používateľa.
- Využitím iných, vopred dohodnutých kódov – napr. GRID karta obsahujúca tabuľku kódov, z ktorej sa vyžaduje jeden náhodne vybraný kód; elektronická čítačka – hardvérové zariadenie, ktoré používateľovi hesla vytvorí unikátny kód, pričom druhá strana ho vie overiť.
- Využitím špeciálnej aplikácie, ktorá vytvára časovo obmedzené kódy – Kód obvykle platný po obmedzenú dobu, napr. 30 sekúnd. Pokiaľ tento časový limit vyprší, kód sa zmení a stratí platnosť. To výrazne skracuje čas na útok, čo ešte viac zlepšuje bezpečnosť hesla. Tieto aplikácie dokážu spolupracovať len s niektorými online službami. Príkladom pomerne univerzálnych riešení sú Google Authenticator alebo Microsoft Authenticator.
Odstrašujúce príklady, ktoré môže učiteľ uviesť (na základe reálnych prípadov):
Dievča používalo na Facebooku slabé heslo, ktoré sa dalo ľahko uhádnuť. Pri ceste do zahraničia sa navyše prihlásilo na nezabezpečenú Wi-Fi sieť, kde útočník heslo odchytil. Vďaka týmto informáciám sa mu podarilo nnabúrať sa jej do účtu, z ktorého jej ukradol súkromné fotografie, ktoré si posielala s priateľom. Následne sa jej vyhrážal ich zverejnením, pokiaľ nezaplatí. Keď to odmietla, fotografie rozposlal do všetkých skupín, ktoré mala vytvorené v Messengeri.
Obeť mala v rámci svojej firmy vytvorený mailový server, no používala jednoduché heslo. Keďže išlo o verejne dostupný systém, útočník ho našiel na internete a heslo prelomil. Následne posielal všetkým kontaktom v zozname škodlivé e-maily a nevhodné reklamy.
Ako sa najčastejšie kradnú heslá?
Existuje niekoľko možností, ako útočník môže získať heslo svojej obete:
- Sledovaním – Znie to absurdne, ale útočníci aj dnes často získajú heslo nazeraním cez rameno svojej obete, prípadne jej nahrávaním na video. Platí to pre prístup do zariadenia, rovnako ako pre prihlasovanie do online služieb.
Ilustračné video: https://www.youtube.com/watch?v=e9CfWK-uN44 – kód je dlhý a zložitý, no po zverejnení na internete už nedokáže používateľa spoľahlivo ochrániť.
- Sociálnym inžinierstvom – Útočník zmanipuluje alebo oklame obeť, aby mu údaje sama poskytla. Môže na to využiť falošnú stránku, špeciálne pripravený e-mail či správu na sociálnych sieťach, kde sa vydáva za dôveryhodnú osobu/inštitúciu alebo predstiera, že ide o požiadavku banky/sociálnej siete/online služby.
- Škodlivým kódom – Útočník nainfikuje zariadenie obeti škodlivou aplikáciou alebo kódom (napr. cez zraniteľnosť v softvéri, použitím sociálneho inžinierstva, cez infikovanú stránku atď.), ktoré sú špeciálne vytvorené tak, aby vyhľadávali, sledovali a kradli heslá a posielali ich útočníkovi.
- Útokom na sieťovú komunikáciu – Útočník môže odchytávať údaje obete na sieťovej úrovni. Ak sa útočník rozhodne dáta odchytávať na verejnej Wi-Fi, vo väčšine prípadov musí byť v bezprostrednom okolí obete15. Podobný útok sa dá urobiť aj za pomoci škodlivého kódu, ktorý nevyžaduje fyzickú prítomnosť.
- Hádaním (tzv. brute force útok, resp. útok hrubou silou) – Jedna z najčastejšie využívaných taktík. Útočník háda bežne používané alebo prednastavené prihlasovacie heslá, používa slovníky či známe frázy. Na tento účel má útočník vytvorený špeciálny kód, prípadne celé zariadenia, ktoré dokážu hádať tisíce hesiel v rádoch sekúnd. To mu umožňuje jednoducho a rýchlo prelomiť konto so slabým či krátkym heslom. Na ilustráciu stačí povedať, že štvormiestny kód zložený z písmen a číselných znakov dokáže útočník uhádnuť takmer okamžite.
(1) Útočníkovi stačí dostať sa do blízkosti domu či bytu obete. Dnešné Wi-Fi prístupové body totiž často majú dosah aj niekoľko desiatok metrov za hranicou bytu/domu. Navyše útočník vybavený anténou dokáže vzdialenosť, v ktorej zachytí signál, ešte zväčšiť.
Kompletnú verziu Príručku o digitálnej bezpečnosti pre učiteľov 1. a 2. stupňa základných škôl si môžete stiahnuť vo formáte pdf. na tomto odkaze.